freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

網(wǎng)絡(luò)安全入侵檢測技術(shù)(編輯修改稿)

2025-02-26 11:10 本頁面
 

【文章內(nèi)容簡介】 析,能夠提取入侵行為在時間和空間上的關(guān)聯(lián), 可以進行的關(guān)聯(lián)包括源 IP關(guān)聯(lián)、目標 IP關(guān)聯(lián)、數(shù)據(jù)包特征關(guān) 聯(lián)、時間周期關(guān)聯(lián)、網(wǎng)絡(luò)流量關(guān)聯(lián)等 可以解決的問題: -彌補模式匹配技術(shù)對未知攻擊無能為力的弱點 -使檢測模型的構(gòu)建自動化,發(fā)展異常檢測方法 數(shù)據(jù)挖掘技術(shù)在入侵檢測中的主要應(yīng)用方向: -發(fā)現(xiàn)入侵的規(guī)則、模式,與模式匹配檢測方法相結(jié)合 -找出用戶正常行為,創(chuàng)建用戶的正常行為庫 謝 謝! 網(wǎng)絡(luò)安全 入侵檢測技術(shù) 第五章 入侵檢測技術(shù) 概述 入侵檢測技術(shù) 入侵檢測體系 入侵檢測發(fā)展 5 1 2 3 4 概述 入侵檢測系統(tǒng)及起源 IDS基本結(jié)構(gòu) 入侵檢測 的分類 基本術(shù)語 IDS存在與發(fā)展的必然性 網(wǎng)絡(luò)安全本身的復(fù)雜性,被動式的防御方式顯得力不從心。 有關(guān)防火墻:網(wǎng)絡(luò)邊界的設(shè)備;自身可以被攻破;對某些攻 擊保護很弱;并非所有威脅均來自防火墻外部。 入侵很容易:入侵教程隨處可見;各種工具唾手可得 入侵檢測系統(tǒng)( IDS) 入侵檢測( Intrusion Detection)的定義:通過從計算機 網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分 析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭 到襲擊的跡象的一種安全技術(shù)。 入侵檢測系統(tǒng)( IDS):進行入侵檢測的軟件與硬件的組 合。 入侵檢測的起源( 1) 審計技術(shù):產(chǎn)生、記錄并檢查按時間順序排列的系統(tǒng)事 件記錄的過程。 1980年, James P. Anderson的《計算機安全威脅監(jiān)控與 監(jiān)視》(《 Computer Security Threat Monitoring and Surveillance》) - 第一次詳細闡述了入侵檢測的概念 - 計算機系統(tǒng)威脅分類 : 外部滲透、內(nèi)部滲透和不法行為 - 提出了利用審計跟蹤數(shù)據(jù)監(jiān)視入侵活動的思想 - 這份報告被公認為是入侵檢測的開山之作 入侵檢測的起源( 2) 1984年到 1986年,喬治敦大學(xué)的 Dorothy Denning和 SRI/CSL的 Peter Neumann研究出了一個實時入侵檢測系統(tǒng)模 型 —— IDES(入侵檢測專家系統(tǒng)) 1990年,加州大學(xué)戴維斯分校的 L. T. Heberlein等人開發(fā) 出了 NSM( Network Security Monitor) - 該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計數(shù)據(jù)來源,因而可以 在不將審計數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機 - 入侵檢測系統(tǒng)發(fā)展史翻開了新的一頁,兩大陣營正式形 成:基于網(wǎng)絡(luò)的 IDS和基于主機的 IDS 入侵檢測的起源( 3) 1988年之后,美國開展對分布式入侵檢測系統(tǒng)( DIDS)的 研究,將基于主機和基于網(wǎng)絡(luò)的檢測方法集成到一起。 DIDS是分布式入侵檢測系統(tǒng)歷史上的一個里程碑式的產(chǎn) 品。 從 20世紀 90年代到現(xiàn)在,入侵檢測系統(tǒng)的研發(fā)呈現(xiàn)出百家 爭鳴的繁榮局面,并在智能化和分布式兩個方向取得了長 足的進展。 IDS基本結(jié)構(gòu) IDS通常包括以下功能部件: P182 事件產(chǎn)生器 事件分析器 事件數(shù)據(jù)庫 響應(yīng)單元 事件產(chǎn)生器( 1) 負責(zé)原始數(shù)據(jù)采集,并將收集到的原始數(shù)據(jù)轉(zhuǎn)換為事 件,向系統(tǒng)的其他部分提供此事件。 收集內(nèi)容:系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)及用戶活動的狀態(tài)和行為 需要在計算機網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(不同網(wǎng)段 和不同主機)收集信息 - 系統(tǒng)或網(wǎng)絡(luò)的日志文件 - 網(wǎng)絡(luò)流量 - 系統(tǒng)目錄和文件的異常變化 - 程序執(zhí)行中的異常行為 事件產(chǎn)生器( 2) 注意: 入侵檢測很大程度上依賴于收集信息的可靠性和正確性 - 要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完整性 - 特別是入侵檢測系統(tǒng)軟件本身應(yīng)具有相當(dāng)強的堅固性, 防止被篡改而收集到錯誤的信息 事件分析器 接收事件信息,對其進行分析,判斷是否為入侵行為或異常 現(xiàn)象,最后將判斷的結(jié)果轉(zhuǎn)變?yōu)楦婢畔ⅰ? 分析方法: - 模式匹配:將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進 行比較,從而發(fā)現(xiàn)違背安全策略的行為 - 統(tǒng)計分析:首先給系統(tǒng)對象(如用戶、文件、目錄和設(shè)備等)創(chuàng)建一個統(tǒng) 計描述,統(tǒng)計正常使用時的一些測量屬性(如訪問次數(shù)、操作失敗次數(shù)和 延時等);測量屬性的平均值和偏差將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進行比 較,任何觀察值在正常值范圍之外時,就認為有入侵發(fā)生 - 完整性分析(往往用于事后分析):主要關(guān)注某個文件或?qū)ο笫欠癖桓? 事件數(shù)據(jù)庫 存放各種中間和最終數(shù)據(jù)的地方。 從事件產(chǎn)生器或事件分析器接收數(shù)據(jù),一般會將數(shù)據(jù)進 行較長時間的保存。 響應(yīng)單元 根據(jù)告警信息做出反應(yīng),是 IDS中的主動武器。 可做出: - 強烈反應(yīng):切斷連接、改變文件屬性等 - 簡單的報警 入侵檢測的分類 按照分析方法 /檢測原理 按照數(shù)據(jù)來源 按照體系結(jié)構(gòu) 按照工作方式 入侵檢測性能關(guān)鍵參數(shù) 誤報 (false positive):實際無害的事件卻被 IDS檢測為 攻擊事件。 漏報 (false negative):一個攻擊事件未被 IDS檢測到或 被分析人員認為是無害的。 入侵檢測的分類( 1) 按照分析方法 /檢測原理 - 異常檢測( Anomaly Detection ):首先總結(jié)正常操作應(yīng)該 具有的特征(用戶輪廓),試圖用定量的方式加以描述, 當(dāng)用戶活動與正常行為有重大偏離時即被認為是入侵 - 誤用檢測( Misuse Detection):收集非正常操作的行為特 征,建立相關(guān)的特征庫,當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中 的記錄相匹配時,系統(tǒng)就認為這種行為是入侵 異常檢測 前提:入侵是異常活動的子集 用戶輪廓 (Profile): 通常定義為各種行為參數(shù)及其閥值 的集合,用于描述正常行為范圍 過程: 監(jiān)控 量化 比較 判定 修正 指標 :漏報率低 ,誤報率高 異常檢測原理模型 80 70 60 activity 50 measures40 30 20 10 0 異常檢測舉例 90 CPU Process Size probable intrusion normal profile abnormal 異常檢測特點 異常檢測系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻 率 不需要對每種入侵行為進行定義,因此能有效檢測未知的 入侵 系統(tǒng)能針對用戶行為的改變進行自我調(diào)整和優(yōu)化,但隨著 檢測模型的逐步精確,異常檢測會消耗更多的系統(tǒng)資源 指標 :誤報低、漏報高 誤用檢測 前提:所有的入侵行為都有可被檢測到的特征 攻擊特征庫 : 當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄 相匹配時,系統(tǒng)就認為這種行為是入侵 過程: 監(jiān)控 特征提取 匹配 判定 誤用檢測模型 Intrusion 誤用檢測舉例 pattern matching intrusion Patterns activities 例 : if (src_ip == dst_ip) then “ land attack” 誤用檢測 如果入侵特征與正常的用戶行為能匹配,則系統(tǒng)會發(fā)生 誤 報 ;如果沒有特征能與某種新的攻擊行為匹配,則系統(tǒng)會 發(fā)生 漏報 特點:采用模式匹配,誤用模式能明顯降低誤報率,但漏 報率隨之增加。攻擊特征的細微變化,會使得誤用檢測無 能為力。 入侵檢測的分類( 2) 按照數(shù)據(jù)來源 - 基于主機:系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運行所在的主機, 保護的目標也是系統(tǒng)運行所在的主機 - 基于網(wǎng)絡(luò):系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包,保護的 是網(wǎng)絡(luò)的正常運行 - 混合型 Inter Customers Desktops Network Branch Office Telemuters
點擊復(fù)制文檔內(nèi)容
教學(xué)課件相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號-1